01[1]

Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

mercoledì 9 settembre 2020

La Warner Music Group (WMG) ha scoperto un data breach che ha riguardato le informazioni personali e finanziarie di decine di store e-commerce statunitensi: i siti e-commerce sono stati violati nell’Aprile 2020 con quello che sembra, a tutti gli effetti, un attacco MageCart. Il rischio quindi di aver subito il furto di dati personali e finanziari riguarda quindi milioni di utenti, non solo statunitensi: la WMG ha avvertito che tutti coloro che hanno inserito informazioni sui loro store online possono aver subito il furto dati ad opera di una terza parte non autorizzata e tutt’ora sconosciuta.

MageCart: cos’è in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantochè la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero “il carrello dei maghi”.

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot ecc…) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell’attacco, tecnicamente definito come “web skimming”: il Javascript resta attivo sull’e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poichè le violazioni MageCart sono molto difficili da individuare.

Gli store Warner Music compromessi da Aprile

La WMG ha inviato una comunicazione ad ognuno degli utenti potenzialmente riguardati dal breach: comunicazione nella quale l’azienda spiega di aver scoperto in data 5 Agosto la violazione non autorizzata, ad opera di una terza parte sconosciuta, di una serie di siti web e-commerce che operano per WMG, anche se ospitati e supportati da un provider esterno. Questo accesso ha “potenzialmente consentito alla terza parte non autorizzata di acquisire copie delle informazioni personali inserite tra il 25 Aprile e il 5 Agosto 2020 nei siti web compromessi “.
Tra le informazioni potenzialmente sottratte ci sono nomi e cognomi, indirizzi email, numeri di telefono, indirizzi di fatturazione, indirizzi di spedizione e dettagli della carta di credito (numero CVC/CVV, data di scadenza). Tuttavia l’azienda ha dichiarato che invece non sono stati violati i dati inseriti sui siti web compromessi tramite il form di pagamento di PayPal.

Le indagini sul breach sono comunque in corso, nel frattempo la WMG ha deciso di offrire 12 mesi di servizio gratuito di monitoraggio dell’identità a coloro che sono stati potenzialmente riguardati dal breach, invitando comunque gli utenti che hanno ricevuto la comunicazione a restare vigili e verificare ogni pagamento o comunicazione email sospetta. L’azienda si è però rifiutata di fornire alla stampa l’elenco dei siti web compromessi.

00[1]

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio

lunedì 7 settembre 2020

Per tutta la prima parte del 2020 gli attacchi ransomware contro le aziende si sono mantenuti a livelli costantemente alti. Per quanto ogni gruppo ransomware operi secondo un proprio set di competenze, la maggior parte degli attacchi ransomware nel primo trimestre del 2020 può essere attribuita ad un numero ridottissimo di vettori di intrusione.

Tra i primi tre metodi di intrusione più utilizzati troviamo gli endpoint RDP non protetti, le email di phishing e gli exploit di applicazioni VPN aziendali.

RDP: ancora sul podio
Sul gradino più alto del podio dei vettori usati per attacchi ransomware troviamo il Remote Desktop Protocol (RDP). I dati provenienti dal report di Coveware, azienda specializzata in risposta agli attacchi ransomware e nella negoziazione con gli attaccanti, parlano chiaro: l’RDP è il punto di ingresso più comunemente sfruttato negli attacchi ransomware avvenuti quest’anno.

A prima vista, qualcuno potrebbe pensare che l’RDP sia il principale vettore di attacco ransomware a causa delle attuali configurazioni del lavoro da casa (telelavoro o smart working), adottato in massa da aziende ed enti per continuare l’attività lavorativa anche mantenendo chiusa la sede di lavoro a causa della pandemia Covid19. Ciò non è del tutto vero: l’RDP è diventato nei fatti il principale vettore di attacco non dopo l’esplosione della pandemia da Covid, ma ben prima, già dallo scorso anno quando il “modello di business” dei ransomware è radicalmente cambiato, optando per attacchi mirati contro enti e aziende al posto degli attacchi massivi contro home user.

Nei fatti l’RDP rappresenta semplicemente, ad ora, la migliore tecnologia disponibile per la connessione a sistemi remoti e sono milioni i computer con le porte RDP esposte online, il che rende l’RDP un efficace vettore per tutte le tipologie di attacco, non solo per i ransomware. Vi sono interi gruppi di cyber attaccanti specializzati nella ricerca di endpoint con RDP vulnerabili, contro i quali lanciare attacchi di brute-forcing per individuare le credenziali. Basta una password debole e “il gioco è fatto”, l’accesso alla rete aziendale è avvenuto e può essere subito utilizzato per un attacco o può essere rivenduto nel dark web.

Il legame tra “cacciatori di RDP” e operatori ransomware si è fatto così stretto che nel dark web non è insolito vedere chiudere “RDP shop” perchè i suoi gestori finiscono per lavorare direttamente ed esclusivamente con un gruppo di operatori ransomware: il modello dei RaaS (ransomware as a service) deve molto a questa unione contingente di interessi.

Applicazioni VPN e i loro bug
Il 2020 è anche l’anno nel quale si è assistito ad una inedita crescita dell’uso delle VPN come strumenti di intrusione. Sin dall’Estate del 2019 sono state individuate molteplici e gravi vulnerabilità in appliance VPN molto conosciute e diffuse: una volta che viene diffuso il codice per l’exploit di una di queste vulnerabilità iniziano immediatamente gli attacchi. Scoperta la vulnerabilità qualcuno prepara il codice per l’exploit e lo mette in vendita per gli attaccanti. Va detto che alcuni proof-of-concept (ovvero progetti di codici di exploit da verificare alla prova dei fatti) sono prodotti dai ricercatori di sicurezza a finalità accademiche-conoscitive, ma ovviamente gli attaccanti non si fanno troppi scrupoli ad usare e perfezionare tali POC e usarli in attacchi reali: anche per questo la pratica della pubblicazione dei POC è non poco criticata.

Gli exploit per i bug delle VPN sono impiegati molto spesso in attacchi di cyber spionaggio, talvolta per il furto di dati e proprietà intellettuali: alcuni sviluppatori di questi exploit hanno deciso, similmente ai cacciatori di RDP, di riservare i propri servizi ad altre bande di cyber attaccanti spesso rivendendo direttamente l’accesso. Tra le VPN più colpite troviamo il gateqay di rete di Citrix e i server VPN di Pulse Sicure: ransomware come Sodinokibi, Ragnarok, Maze, Nefilim usato i bug di Citrix (come la CVE-2019-19781) per accedere alle reti aziendali.

Black Kingdom, REvil invece sfruttano la vulnerabilità CVE-2019-11510 della VPN Pulse Connect Secure.

00+28129[1]

Tor Vergata: attacco ransomware contro l’Università colpisce le ricerche sul Covid e blocca la didattica a distanza

Tor Vergata: attacco ransomware contro l’Università colpisce le ricerche sul Covid e blocca la didattica a distanza

giovedì 10 settembre 2020

La notizia è di ieri: l’Università di Tor Vergata a Roma, uno dei principali atenei d’Italia, è stata vittima di un attacco ransomware. L’intrusione nei sistemi dell’ateneo è avvenuta Venerdì sera a partire da un server, poi gli attaccanti sono riusciti ad espandere la loro presenza nella rete e a diffondere un ransomware. Finiscono criptati materiale didattico e di ricerca, compresi tutti i materiali relativi a ricerche e terapie per la cura del Covid19, ma l’attacco obbliga anche al blocco delle attività di didattica a distanza. In pratica sono finiti criptati tutti i materiali presenti sui dischi rigidi, ma anche nel sistema in cloud: oltre 100 i computer compromessi, incalcolabile il numero di dati sensibili e personali che è stato violato, anche se non c’è ancora certezza che i dati siano stati rubati prima di finire criptati. Non è stata neppure avanzata, almeno per ora, alcuna richiesta di riscatto.

“Per ora non è stato chiesto alcun riscatto e non sappiano ancora cosa abbiano esfiltrato, ma siamo riusciti subito ad avviare contromisure circoscrivendo il danno e attivando il ripristino dal backup, così da non perdere dati, ricerche e assicurare il proseguimento della didattica” ha dichiarato ieri il Rettore Orazio Schillaci, subito dopo aver assunto un consulente in cybersecurity specializzato in attacchi ransomware e che ha avuto esperienze in realtà del peso di Telecom, Banca Intesa. Alle indagini e alla risoluzione della violazione di rete stanno lavorando il team di informatici dell’ateneo, esperti della Presidenza del Consiglio dei Ministri, della Polizia Postale e di Microsoft.

La situazione ad oggi pare tornata quasi alla normalità: il backup ha permesso di poter ripristinare gran parte dei dati, mentre sono sotto analisi i log dei sistemi anti intrusione dei quali è dotata l’Università, che riportano indirizzi IP e altri indicatori di compromissione utili a ricostruire le modalità di attacco e anche a tentare di rintracciare gli attaccanti.

Il caso dell’Università di Tor Vergata non è affatto isolato e, se negli USA gli attacchi ransomware di questo tipo sono ormai consuetudine, nel nostro paese episodi simili si sono moltiplicati in pochissimo tempo: qualche giorno fa è finito sotto attacco ransomware il Comune di Rieti, ma anche la tentata irruzione nelle reti dell’istituto Spallanzani ha destato molto allarme.

Difficile ad ora avanzare ipotesi sulle finalità dell’attacco, poichè potrebbe trattarsi di un attacco a puro scopo estorsivo, ma allo stato attuale non si possono escludere spionaggio industriale così come la cyber war: da qualche mese infatti attacchi informatici (in molti casi sponsorizzati da Stati)per rubare test, studi e ricerche sui vaccini fin ora sperimentati sono divenuti molto frequenti.

01[1]

Il malware TrickBot ora infetta anche i sistemi Linux

venerdì 31 luglio 2020
Il malware TrickBot ora infetta anche i sistemi Linux

Abbiamo parlato spesso di TrickBot che, ad oggi, è tra i malware più diffusi al mondo: in breve è definibile come una piattaforma malware polivalente per Windows che utilizza differenti moduli per poter eseguire diverse attività dannose tra le quali il furto di informazioni e password, l’infiltrazione di domini Windows e la distribuzione di altri malware. TrickBot viene affittata da cyber attaccanti che la utilizzano per infiltrare reti e raccogliere da queste tutti quei dati che hanno un qualche valore. Tra le altre cose, questa piattaforma è usata per distribuire i ransomware Conti e Ryuk.

Alla fine del 2019, sia SentinelOne che NTT pubblicarono report che svelavano l’esistenza di un nuovo framework di TrickBot chiamato Anchor, che utilizza DNS per comunicare coi propri server di comando e controllo.

Fonte: https://labs.sentinelone.com

Chiamato Anchor_DNS, il malware è pensato per colpire solo target di un certo livello, sopratutto quelli che possono fornire informazioni finanziarie di valore. I suoi gestori lo utilizzano come backdoor. Questo è TrickBot Anchor in breve.

La backdoor di TrickBot Anchor sbarca su Linux
Storicamente Anchor è stato un malware per Windows. Alcuni ricercatori però hanno individuato molto recentemente una nuova variante che dimostra come Anchor_DNS sia stato dotato di una nuova versione della backdoor chiamata “Anchor_Linux”. Nella foto sotto è visibile la stringa individuata in un eseguibile Linux x64.

Fonte: https://labs.sentinelone.com

Il ricercatore Vitali Kremez ha quindi analizzato questo campione scoprendo che, quando installato, Anchor_Linuz si configurerà per eseguirsi ogni minuto usando il comando crontab, ottenendo così la persistenza sul sistema

Fonte: Vitali Kremez

Altro dettaglio: oltre ad avere funzionalità di backdoor per infettare dispositivi Linux, il malware contiene anche l’eseguibile TrickBot per Windows. Per infettare i dispositivi Windows Anchor_Linux copia il malware sull’host Windows usando l’SMB, poi si configura come un servizio di Windows, quindi si esegue sull’host e stabilisce la connessione col server C&C per ricevere comandi da eseguire.

Insomma, questa versione per Linux consente agli attaccanti di colpire ambienti non Windows con una backdoor che però garantisce loro la possibilità di estendersi anche ai dispositivi Windows sulla stessa rete, qualora ve ne fossero.

“Il malware agisce come una backdoor persistente sugli ambienti UNIX ed è usato come perno per sfruttare Windows: un vettore di attacco iniziale non ortodosso diverso e fuori dal classico attacco di phishing. Consente agli attaccanti di infettare dispositivi (come i router) e server UNIX ed espandersi poi a tutta la rete, colpendo anche gli host Windows” ha detto Kremez.

Il problema è realissimo, stante il crescente numero di dispositivi IoT che utilizzano il sistema operativo Linux: dispositivi come router, VPN, NAS e molti altri sono tutti potenziali target di Anchor_Linux.

TrickBot Enterprise
Nell’infografica tutte le attività di TrickBot.

Fonte: https://labs.sentinelone.com

01[1]

Ransomware: Canon si aggiunge alle vittime eccellenti

giovedì 6 agosto 2020
Ransomware: Canon si aggiunge alle vittime eccellenti

Canon ha subito un attacco ransomware che ha avuto un ampio impatto su numerosi servizi, compreso il servizio email di Canon, il Microsoft Team, il sito statunitense dell’azienda e alcune applicazioni interne. Fonti interne riferiscono che il dipartimento IT dell’azienda ha inviato una comunicazione a tutti i dipendenti avente come oggetto “Message from IT Service Center”: comunicazione nella quale si spiega come Canon stia sperimentando “problemi di sistema molto estesi che stanno interessando più applicazioni, Teams, Email e altri sistemi che potrebbero non essere disponibili al momento”.

In down, come detto, è finito anche il sito web statunitense usa.canon.com che, al momento della scrittura di questo testo, si presenta così

Tra i domini in down non c’è solo il sito web, eccone un breve elenco:
www.canonusa.com
www.canonbroadcast.com
b2cweb.usa.canon.com
imageland.net
consumer.usa.canon.com
bjc-8200.com
bjc3000.com
downloadlibrary.usa.canon.com
www.cusa.canon.com
www.canondv.com
Ancora Maze: rubati 10 TB di dati da Canon
La redazione di Bleeping Computer è riuscita ad entrare in possesso e rendere pubblica la nota di riscatto, che rende immediatamente riconoscibile il vettore di attacco, ovvero il ransomware Maze.

Gli attori che controllano Maze hanno spiegato che l’attacco è stato condotto ieri mattina, Mercoledì 5 Agosto, alle ore 6.00 quando hanno rubato “10 terabyte di dati e database privati”. Hanno invece specificato di non avere alcuna responsabilità per il down di di image.canon: il sito è finito offline il 30 Luglio e sono trascorsi 6 giorni prima che tornasse online. Molti ricercatori di sicurezza hanno quindi collegato questo down all’attacco di Maze, ma pare invece essere una problematica del tutto diversa che non origina dalla presenza degli attaccanti della rete e neppure dalla criptazione.

I commenti finiscono qui, il gruppo di cyber attaccanti ha deciso di non rilasciare ulteriori dichiarazioni. Resta sconosciuto il numero dei dispositivi criptati, ma ad ora non sono state neppure pubblicate prove del furto di una tale mole di dati: conoscendo il modus operandi di Maze, ad ora potrebbero essere in corso eventuali trattative oppure i cyber attaccanti si stanno preparando a iniziare una serie di data leak, tramite il loro apposito sito per la pubblicazione di dati rubati, per aumentare le pressioni sull’azienda.

Canon si aggiunge così all’elenco delle vittime eccellenti di Maze, che già ha colpito Xerox, LG, la Città di Pensacola, VT San Antonio Aereospace.

01[1]

I costi di un data breach: ogni dato personale rubato in Italia costa 125 euro

mercoledì 5 agosto 2020
I costi di un data breach: ogni dato personale rubato in Italia costa 125 euro

I numeri del report di IBM e Ponemon Institute, basati sull’analisi di più di 500 data breach accaduti nell’ultimo anno, fanno paura, davvero. 21 dei 500 data breach analizzati sono accaduti in Italia e questi numeri sono il frutto della media dei dati risultanti dalle analisi.

In italia:
ci vogliono 229 giorni per identificare un data breach;
80 i giorni necessari, invece, per contenerlo;
ogni singolo dato perso viene a costare in media 125 euro;
3 milioni di euro circa è la spesa media per mettere di nuovo in sicurezza i sistemi, pagare spese legali, ripristinare la produttività e affrontare i danni d’immagine.
I settori più colpiti in Italia sono quello finanziario, seguito a ruota dal farmaceutico, quindi terziario e servizi. Le cause principali sono cyber attacchi nel 52% dei casi, errore umano nel 29% dei casi e falle e vulnerabilità dei sistemi per un altro 19%.

Nel mondo invece, il tempo medio necessario per individuare una violazione dei dati (non l’attacco che l’ha originata) è di 207 giorni. Il costo medio complessivo di un data breach è stato pari a 2,90 milioni di euro, in diminuzione quasi del 5% rispetto allo scorso anno: uno tra i pochi dati positivi del report.

Altro dato sconcertante, che però rende chiaro il clima da cyber war nel quale viviamo, è che ben il 13% delle violazioni di dati occorse nel mondo in un anno sono state eseguite da cyber attaccanti state-sponsored, cioè da gruppi e entità collegate e in accordo con Stati nazione: il costo medio di queste violazioni è di 4,43 milioni di dollari ad incidente, un danno medio ben più alto di quello prodotto da attacchi perpetrati per mere finalità economiche da criminali informatici.

Infine due dati che danno indicazioni piuttosto utili per i responsabili dei team IT e, in generale, per i decision maker aziendali: il 40% circa dei cyber attacchi è stato possibile a causa della compromissione di credenziali deboli e di errate configurazioni dei server cloud.

1[1]

Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

mercoledì 29 luglio 2020
Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

La Cybersecurity and Infrastructure Security Agency(CISA) statunitense e il National Cyber Security Centre (NCSC) del Regno Unito hanno diramato appena due giorni fa un alert specifico riguardante QSnatch, un malware specializzato in attacchi contro i dispositivi NAS QNAP. QSnatch è un malware individuato nel 2014 e che ha visto due ampie campagne di diffusione dal 2014 al 2017 e dal 2018 al 2019. Nonostante l’inattività momentanea del malware, le due agenzie di sicurezza hanno deciso di lanciare gli alert e invitare urgentemente tutti i clienti QNAP ad aggiornare i propri dispositivi NAS e ridurre il più possibile il rischio di futuri attacchi.

Il malware in breve
Prima di passare ai numeri, che effettivamente rendono esplicito il pericolo, è utile una breve ricapitolazione delle funzionalità e caratteristiche di questo malware. QNAP ha informato per la prima volta i propri clienti riguardo ad una serie di attacchi in corso contro i dispositivi NAS nel Novembre 2019, quando un ricercatore del National Cyber Security Centre finlandese aveva individuato centinaia di NAS QNAP infetti: per ben 4 anni il malware è rimasto fondamentalmente sconosciuto e sotto traccia.

Le funzionalità principali di QSnatch sono il furto di credenziali e l’iniezione di codice dannoso recuperato dal server di comando e controllo degli attaccanti. E’ comunque un malware modulare, quindi può ampliare le proprie funzioni secondo le esigenze degli attaccanti. Tra le altre cose, lascia una backdoor in ogni dispositivo infetto. Alcune funzionalità sono:

installazione di una pagina di login admin fake per il phishing delle credenziali;
furto di credenziali;
installazione di una backdoor SSH che garantisce agli attaccanti di eseguire codice dannoso sul dispositivo compromesso;
utilizzo di una web shell per garantire l’accesso remoto agli attaccanti;
utilizzo di moduli di esfiltrazione di una lista predefinita di file (tra i quali log e configurazioni di sistema).

Una volta infettato un NAS QNAP, il malware blocca anche gli update del software, si garantisce la persistenza modificando gli script init e cronjob e impedisce l’esecuzione del Malware Remover: le fonti di update vengono semplicemente sovrascritte, mentre i domini e gli URL di update sono reindirizzati alle versioni in locale.

Resta ancora sconosciuto il vettore di attacco, a parte una specifica campagna di distribuzione che ha visto QSnatch iniettato direttamente nel firmware del dispositivo. Le due agenzie fanno sapere di aver analizzato alcuni campioni di QSnatch che patchano intenzionalmente una vulnerabilità di esecuzione di codice da remoto Samba CVE-2017-7494: questo potrebbe essere un tentativo di impedire ad altri di prendere il controllo del dispositivo infettato con QSnatch, ma potrebbe anche avere a che fare col vettore di infezione usato in precedenti campagne di diffusione.

Diamo i numeri
Partiamo da un assunto categorico: “tutti i dispositivi NAS QNAP sono potenzialmente vulnerabili al malware QSnatc se non correttamente aggiornati all’ultimo fix di sicurezza”, spiegano entrambe le agenzie. “Aziende e privati che usano versioni vulnerabili devono eseguire un ripristino completo alle impostazioni di fabbrica prima di completare l’upgrade del firmware, così da assicurarsi che il dispositivo non sia lasciato vulnerabile”. Il consiglio è anche quello di isolare il dispositivo da connessioni esterne se l’uso del NAS è solo per storage interno.

Le due agenzie hanno individuato circa 62.000 dispositivi infetti fino a metà Giugno 2020: di questi oltre il 54% si trovano in Europa, 15% in Nord America e il 31% nel resto del mondo.

Fonte: CISA & NCSC

I NAS QNAP sotto assedio
QSnatch non è affatto il primo malware pensato appositamente per colpire i NAS QNAP: nell’Ottobre del 2019 l’azienda rilasciò un alert di sicurezza riguardo al ransomware Muhstik che colpiva quei dispositivi che eseguivano phpMyAdmin con password deboli per server SQL.

Nell’Agosto 2019 da QNAP viene pubblicato un altro alert: debutta sulle scene il ransomware eCh0raix (QNAPCrypt), decriptato e risolto nella prima versione e di nuovo in diffusione lo scorso mese con una nuova versione attualmente ancora non risolvibile.

01[1]

Le Big Tech sotto processo negli Stati Uniti: breve cronaca di un’udienza infuocata

giovedì 30 luglio 2020
Le Big Tech sotto processo negli Stati Uniti: breve cronaca di un’udienza infuocata

Jeff Bezos, Sundar Pichai, Mark Zuckerberg, Tim Cook: c’erano tutti ieri a Capital Hill, sede del Congresso americano. Si conta solo un grande assente, tra i CEO delle big dell’Hi Tech, ovvero Jack Dorsey di Twitter. Le testimonianze dei 4 big sono durate oltre 5 ore e mezza, chiamati a difendere le proprie aziende (Amazon, Google Alphabet, Facebook e Apple) che, insieme, valgono circa 5mila miliardi di dollari l’anno.

In dettaglio i quattro sono stati chiamati a testimoniare da una sotto commissione della magistratura del Congresso che si occupa di Antitrust, riguardo la posizione dominante e eventuali comportamenti non conformi alle regole dell’antitrust nei rispettivi settori. L’inchiesta in realtà è iniziata nel Giugno 2019, ma è la prima volta che tutti e 4 i big sono stati chiamati a testimoniare e rispondere a domande dirette su quanto emerso dagli oltre 1,3 milioni di documenti raccolti dai commissari stessi.

L’accusa è diretta e pesante: “Queste aziende sono ormai troppo potenti e la pandemia ha peggiorato le cose: bisogna fare qualcosa” contro questi “titani, imperatori dell’economia online”, si legge nell’atto di accusa della Commissione Antitrust. Un processo alle Big Tech che, ormai, si è fatto mediatico e molto atteso, anche sulla spinta delle dichiarazioni di molti politici, pur di schieramenti diametralmente opposti: dalla democratica Ocasio Cortez, che da mesi cerca di torchiare sopratutto Zuckerber, a Trump che invece colpisce tutti indistintamente, dichiarando poco prima dell’inizio dell’audizione che “se il Congresso non riesce a portare correttezza e onestà nelle Big Tech, cosa che avrebbe dovuto fare anni fa, lo farò io con dei decreti”.
Le domande poste, che hanno spesso assunto anche la forma di vere e proprie accuse, sono state tutte volte a cercare di ricostruire i modelli di business delle quattro corporation, andando a toccare temi molto spinosi che hanno raccolto solo risposte vaghe o comunque non di merito da parte dei quattro CEO.

Ad esempio le domande rivolte a Bezos si sono concentrate principalmente su un punto: il comportamento predatorio che Amazon terrebbe nei confronti di venditori terzi, quelli cioè che vendono i propri prodotti tramite Amazon. La Commissione ha chiesto a Bezos di rendere conto del trattamento imposto ai partner, poichè le testimonianze raccolte parlano di come Amazon imponga e costringa i terzi a sottostare a qualsiasi regola, dato che nei fatti “è l’unico giocatore in campo”. C’è chi ha apertamente parlato di “bullismo, paranoia e panico” per descrivere il rapporto tra Amazon e terzi. Altra accusa, proveniente dai dipendenti stessi di Amazon, è che Bezos sfrutti i dati dei venditori potenzialmente rivali per favorire la vendita dei propri prodotti.

“Non posso rispondere sì o no. Ciò che posso dirle è che abbiamo una policy che vieta l’uso di dati dei venditori per agevolare gli affari dei nostri marchi privati, ma non posso garantire che questa regola non sia mai stata violata. Il fatto che Amazon produca e venda prodotti in competizione diretta coi venditori non è intrinsecamente un conflitto di interessi” la risposta di Bezos. Oltre a ciò Bezos ha anche spiegato che “Amazon non è grande come sembra: ha solo il 36% del mercato delle vendite online, quindi esistono alternative”.

Contro Apple invece le accuse si sono concentrate sul monopolio costituito dall’App Store, in quando unico store dove sono disponibili app per i dispositivi Apple. L’accusa ha anche chiesto spiegazioni rispetto alla rimozione di alcune app di Parental Control, fatto avvenuto in contemporanea col il lancio della stessa funzionalità ma prodotta direttamente da Apple. In generale, Tim Cook è stato il meno bersagliato dei quattro.

Pichai invece ha subito domande molto aggressive, su tematiche estremamente di rilievo come la chiusura della collaborazione col Pentagono di un progetto osteggiato dai dipendenti di Google, ma sopratutto sul funzionamento del motore di ricerca (dal quale passa il 90% delle ricerche online nel mondo). Lo sfruttamento di posizione dominante di Google nell’ambito delle ricerche online porta la società a fornire servizi guidando gli utenti entro “un giardino murato”, ha dichiarato il presidente della Commissione Antitrust: Pichai si è difeso spiegando che Google ha concorrenti settoriali (ad esempio Amazon per quanto riguarda le ricerche su acquisti online) e che comunque la maggior parte dei risultati non contiene annunci o ads ed è incentrato sulle parole che l’utente inserisce. Pichai ha anche negato che i risultati delle ricerche siano manipolati “manualmente” per favorire alcuni risultati piuttosto che altri.

Il grande nemico del Congresso sembra comunque Zuckerberg, bersagliato di domande e messo duramente sotto torchio. Il Congresso ha accusato Facebook di essere particolarmente aggressiva verso i possibili rivali, spiegando come Zuckerberg sia arrivato a minacciare personalmente Kevin Systrom, uno dei fondatori di Instagram, per “convincerlo” a cedere il social: acquisizione che poi è avvenuta nel 2012. Quando non direttamente acquistabili, ha spiegato un membro della Commissione, Facebook pare ricorrere direttamente alla copia e implementazione delle funzionalità dei social avversari entro la propria piattaforma. Da questo punto di vista alcuni membri del congresso hanno, forse retoricamente, chiesto all’aula come sia possibile che nuovi social possano prosperare se Facebook anticipa costantemente le mosse avversarie o acquisisce direttamente i possibili futuri nemici. “Facebook deve affrontare una forte competizione internazionale, che include piattaforme come TikTok, Twitter e Snapchat, ma anche Apple, Amazon e Alphabet sono allo stesso modo nostri competitor” si è difeso Zuckerberg, spiegando come questo smonti immediatamente l’ipotesi di posizione dominante.

L’udienza non aveva finalità decisionali, ma solo istruttorie ma, come ha esplicitamente dichiarato davide Cicilline, presidente della sottocommissione Antitrust: “Questa udienza mi ha chiarito un fatto: queste società così come sono oggi hanno il potere di monopolio. Alcuni devono essere spezzettate, tutti devono essere adeguatamente regolati e ritenuti responsabili “.

Il dibattito negli USA sulle Big Tech non si esaurisce comunque sulla questione della predominanza di mercato: sopratutto sulle aziende che gestiscono social si fa sempre più pressante la necessità di un quadro normativo che impedisca alle corporation di farsi censori e di decidere in maniera arbitraria i limiti del diritto di espressione.

01+28129[1]

Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

lunedì 27 luglio 2020
Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

E’ uno di quegli attacchi ransomware di peso, che fa notizia sulla stampa perchè la vittima è eccellente: parliamo della Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable.

L’attacco è avvenuto Giovedì scorso ed ha obbligato l’azienda a chiudere i servizi connessi e quelli di call center in tutte le sue sedi nel mondo: ora è confermato che il down dei sistemi è stato conseguenza di un attacco del ransomware WastedLocker. Interessati Garmin.com e Garmin Connect. Nonostante Garmin non li abbia citati nell’avviso di down, sono divenuti inutilizzabili anche servizi flyGarmin, utilizzati dai piloti di aereovelivoli: tra questi il sito web flyGarmin e l’app mobile, i servizi Connext (meteo e report di posizione) e l’App Garmin Pilot. Anche i servizi Garmin Explorer e la tecnologia satellitare inReach sono finite in down ed è stata sospesa la produzione di tutti i dispositivi.

E’ stata la sede indiana di Garmin ha pubblicare il primo tweet dopo l’attacco, spiegando però che alcuni server sarebbero stati messi offline per una manutenzione avvenuta nove ore prima che avrebbe limitato le prestazioni di Garmin Express, Garmin Connect mobile e il sito web. Quattro ore dopo, gli account ufficiali di Garmin su Twitter e Facebook condividevano lo stesso messaggio, aggiungendo però che anche i call center erano in down a causa della problematica intercorsa.

La conferma: è il ransomware WastedLocker
La conferma della tipologia di ransomwareimpiegata nell’attacco è avvenuta tramite un impiegato di Garmin, che, alla redazione di Bleeping Computer, ha spiegato che sui sistemi è stato ritrovato un campione di WastedLocker. Il dipartimento IT di Garmin ha tentato di arrestare da remoto tutti i computer collegati alla rete aziendale durante la critpazione, compresi i computer connessi in VPN e usati dai dipendenti in smart working. L’operazione non ha avuto successo, quindi è partito l’ordine ai dipendenti di spegnimento di qualsiasi computer sulla rete alla quale avevano accesso. Nel frattempo il team IT ha forzato l’arresto di tutti i dispositivi ospitati in uno dei data center principali dell’azienda, per impedire che almeno quelli finissero criptati. E’ stato proprio questo arresto che ha causato il down globale di Garmin Connect e degli altri servizi connessi. Sabato i sistemi erano completamente bloccati.

Nella foto sotto è possibile vedere alcuni file criptati: l’estensione aggiunta al nome file è .garminwasted. E’ anche stata creata una nota di riscatto per ogni file criptato.

La versione di WastedLocker usata è in corso di studio, ma quello che emerge chiaramente è che è una versione “rivista e corretta” di Wasted pensata appositamente per attaccare la rete aziendale Garmin. L’estensione (.garminwasted) e il nome della nota di riscatto (garminwasted_info) rendono chiara la cosa. Sotto la nota di riscatto:

WastedLocker in breve
WastedLocker è stato sviluppato da un gruppo di cyber attaccanti chiamato Evil Corp, attivo fin dal 2007: debuttarono col malware bancario Dridex, poi sperimentarono attacchi ransomware con Locky fino a sviluppare un ransomware tutto loro, conosciuto come BitPaymer. Il Dipartimento del Tesoro degli Stati Uniti ha sanzionato duramente nel 2019 il gruppo Evil Corp a causa dei danni arrecati all’economia statunitense (si parla di oltre 100 milioni di danni):per questo la Garmin si trova in un bell’impiccio, non potendo pagare il riscatto agli attaccanti a meno di violare la legge statunitense. E’stato proprio dall’anno della sanzione, il 2019, che il gruppo ha cambiato strategia preferendo specializzarsi in attacchi ransomware mirati contro le aziende: ecco che viene messo in diffusione WastedLocker.

Quello a Garmin è solo l’ultimo di una serie di attacchi con la quale il gruppo sta bersagliando aziende statunitensi: nell’ultimo mese WastedLocker ha colpito circa 12 altre aziende americane, incluse alcune contenute nella lista delle 500 aziende di Fortune. Non è chiaro come riescano a penetrare nelle reti, tuttavia si sa che il gruppo è riuscito a compromettere i dispositivi dei dipendenti di oltre 30 importanti aziende sfruttando dei falsi alert di update software visualizzati tramite il framework dannoso JavaScript SocGholish.

Il lento e parziale ripristino della situazione
Dopo 3 giorni consecutivi di disservizi, la situazione è iniziata lentamente a migliorare. Garmin ha aperto una bacheca online tramite la quale sta informando gli utenti sull’andamento dei lavori di ripristino: ieri pomeriggio erano stati ripristinati però soltanto servizi secondari e alcuni dei servizi principali, ma in modalità limitata.

Quel che resta da sistemare è la trasparenza dell’azienda: Garmin infatti non ha assolutamente fornito una spiegazione ufficiale all’accaduto e quanto si sa è per adesso trapelato da fonti interne, ma non ufficiali. Probabilmente una comunicazione più completa da parte dell’azienda arriverà quando anche l’ultimo servizio sarà ripristinato.

01+28129[1]

Scuola: tutti i rischi connessi all’accesso ad Internet e come affrontarli

Scuola: tutti i rischi connessi all’accesso ad Internet e come affrontarli

martedì 21 luglio 2020

Una scuola iper connessa gode di grandissimi vantaggi in termini di funzionalità e servizi, ma, ovviamente, si espone a rischi informatici. Proviamo ad entrare, passaggio per passaggio, nella giusta ottica, percorrendo quello che dovrebbe essere il percorso che porta a scegliere come organizzare la sicurezza informatica.

I rischi informatici sono migliaia, ma sono riassumibili in due tipologie: esterni e interni, a seconda della provenienza della minaccia. Da questo punto di vista è utile ricordare che molto spesso i peggiori e più dannosi attacchi provengono dall’interno e non dall’esterno, compiuti ad opera di soggetti che conoscono la struttura della rete e dei servizi scolastici perchè hanno o hanno avuto accesso ai sistemi di elaborazione per le funzioni che hanno ricoperto.

Rischi esterni:
– Accessi non autorizzati: se la rete interna non è correttamente protetta, un cyber attaccante esterno potrebbe accedervi in maniera non autorizzata, esponendo sia gli endpoint collegati che i dati in essi contenuti. I dati potrebbero essere manomessi o sottratti.

– Malware: la navigazione e le email sono i due principali vettori di diffusione di malware. I malware sono di molteplici tipologie e producono effetti diversi: si va dalla perdita dei dati al blocco degli endpoint, al sovraccarico della rete e alla compromissione dei dispositivi ad essa connessi.

– Email: moltissime minacce informatiche sono veicolate via email, sopratutto email di spam. I due principali attacchi veicolati via email sono quelli di phishing e quelli per la distribuzione di malware. Le email di phishing hanno lo scopo di rubare i dati, inducendo il destinatario a “consegnarli” spontaneamente tramite messaggi truffaldini costruiti secondo i principi dell’ingegneria sociale. Questo tipo di attacco, che, paradossalmente, necessita della collaborazione inconsapevole della vittima, non mira solo a dati sensibili: spesso vengono anche richieste credenziali di accesso a vari account. Se un dipendente scolastico cede le proprie credenziali di accesso all’infrastruttura o ai sistemi scolastici, un attaccante vi avrà libero accesso. La distribuzione di malware via email invece avviene in due diverse modalità:
tramite allegato dannoso, scaricando e aprendo il quale il malware si diffonde sul sistema. Lo schema classico è l’email contenente un archivio (formati .zip o .rar), contenete a sua volta un documento Office che richiede l’abilitazione di una macro: se la macro viene abilitata, il danno è fatto;
tramite link compromesso: in questo caso l’email contiene un link che, se cliccato, può avviare il download del malware oppure eseguire script dannosi sul browser che terminano con l’infezione del sistema e, molto spesso, anche della rete.

– Attacchi DDoS: più soggetti coordinati tra loro (o un solo soggetto dotato di una infrastruttura di attacco sufficiente) si collegano simultaneamente al server che ospita un determinato servizio. Ne consegue un sovraccarico con conseguente interruzione del servizio, che diviene non più disponibile agli utenti autorizzati.

Rischi interni:
– Data breach: dati riservati o sensibili ai quali un soggetto ha accesso per mansioni lavorative sono trasmessi via Internet a soggetti non autorizzati ad accedere a quei dati.
– Navigazione su siti con contenuti non adatti o comunque non pertinenti l’attività scolastica o lavorativa: in questo caso è necessario introdurre un sistema di filtraggio della navigazione, evitando che dalla rete interna si possano raggiungere tali siti.
– Traffico non consentito: lasciare la navigazione libera comporta rischi anche in termini di qualità delle attività istituzionali. La libera navigazione, lo scaricare e scambiare immagini o video e altre attività finiscono per sovraccaricare la rete. In questo caso sono utili policy che restringano la navigazione e strumenti che sappiamo riequilibrare il carico di rete secondo le priorità.
– Manomissione, danneggiamento, backdoor: qualora personale deputato all’amministrazione o comunque con accesso ai dati lasci la scuola, è importante revocarne tutte le autorizzazioni e provvedere a chiudere i vecchi account generandone di nuovi, con permissioni ad hoc, per i sostituti. Altrimenti eventuali ex dipendenti malintenzionati potrebbero operare danneggiando le attività lavorative, i pc e i dati.

Organizzare la sicurezza:
Prima di addentrarsi nell’analisi dettagliata degli strumenti tecnici necessari, è necessario “farsi il quadro complessivo” e poi muoversi di conseguenza. Anche tenendo di conto che l’errore umano è una delle principali cause di attacco informatico e che quindi, oltre alla tecnologia e ad una buona organizzazione, la formazione del personale amministrativo, docente ma anche degli studenti affinchè sappiano evitare i rischi informatici, è una componente essenziale della cyber sicurezza scolastica. I passi da compiere potrebbero essere, a grandi linee, questi:
definire strategie generali (policy)
formalizzare procedure e regole
verificare il rispetto delle policy e regole (auditing)
gestire i problemi di sicurezza, approntando un piano di segnalazione-allarme-risposta (incident management e disaster recovery)

Contromisure: andiamo sul tecnico…
Policy, Incident Management, Disaster Recovery e formazione del personale non bastano: il piano di cyber sicurezza va completato con adeguate misure tecniche. Vediamo i fondamentali:

– Firewall: è un sistema di protezione che sta al confine tra rete locale interna e Internet: tutto il traffico in entrata e in uscita passa da questo strumento. E’ possibile quindi esaminare il traffico applicandovi le policy di sicurezza approntate dalla scuola secondo necessità. Si può ad esempio vietare tutto il traffico eccetto quello esplicitamente previsto. Impedisce anche accessi non autorizzati al sistema interno. I firewall producono anche log sul traffico di rete che possono essere consultati per successive indagini.

– Antivirus gateway: esamina il traffico generato dalla navigazione su Internet e dalla posta elettronica in cerca di malware. Si posiziona entro la LAN e opera confrontando il traffico con un archivio contenente le firme dei virus può diffusi. Se individua un malware invia un alert all’admin di rete e, se necessario, anche all’utente, poi rimuove l’elemento pericoloso.

– Antivirus endpoint: l’antivirus, da installare su ogni dispositivo connesso al web, blocca attacchi informatici, malware, trojan ecc.. Esistono soluzioni centralizzate: su ogni pc viene installato il client, la parte software server viene installata su un hardware dedicato. Questa soluzione garantisce la gestione della sicurezza di ogni singolo endpoint o di tutti assieme da una “posizione” centrale.

– Url filtering: solitamente previsto dalle soluzioni antivirus e di protezione della rete, l’url filtering permette di filtrare le pagine web richieste dall’utente bloccando i contenuti dei siti ritenuti non idonei. La scuola può impostare una black list di navigazione, per indirizzi dei siti o per categorie (chat, adulti, social ecc…).

Il Piano Scuola: finalmente l’Italia investe sul digitale
Il Piano Scuola è il programma avviato dal Comitato per la diffusione della Banda Ultralarga composto da Presidenza del Consiglio dei Ministri, Ministero dello Sviluppo Economico, Infratel e AgID – Agenzia per l’Italia Digitale. L’obiettivo è quello di collegare 32.213 plessi scolastici con banda ultra larga (fino a 1 Gbps con 100 Mbps garantiti). Per il programma sono stati stanziati finanziamenti per 400.430.897 euro per coprire i costi strutturali per la banda ultralarga e per coprire i costi di connettività per 5 anni.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy